一切从C开始

文章列表

2009-07-06 11:31

好久没顾得上写blog了，感谢一直关注本blog的朋友。获取线程当前状态，是挂起还是终止，没有直接的API.这里把自己经常用的这段代码贴出来，与大家分享吧。

#include <stdio.h>
#include <windows.h>
#include <winbase.h>
#include <ntsecapi.h>

#define UNICODE
#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)
#define STATUS_SUCCESS ((NTSTATUS) 0x00000000)
#

阅读全文>>

类别：windows sdk开发 | 评论(4) | 浏览()

阻止全局钩子的加载[转载】

2009-03-04 02:18

网上有一篇关于这个问题的文章，题目叫《防止全局钩子的侵入》，作者不祥。文中简单分析了一下钩子的原理，然后使用了微软的Detours库进行 API拦截。如果只是为了拦截一个函数，使用Detours好像有点儿浪费。本文不使用Detours库，直接对LoadLibraryExW函数进行拦截。
先说一下全局钩子是怎么进入到我们的程序里来的。假如有个程序A安装了WH_GETMESSAGE的全局钩子，钩子函数在B.dll中，那么当其它程序在调用GetMessage函数从自己的消息队列中取消息的时候，系统发现程序A安装了WH_GETMESSAGE的全局钩子，就会检查调用 GetMessage的

阅读全文>>

类别：代码杂谈 | 评论(4) | 浏览()

自己写的一个GetProcAddress【转载】

2009-03-04 01:51

DWORD GetFunctionAddress( HMODULE phModule,char* pProcName )

阅读全文>>

类别：代码杂谈 | 评论(0) | 浏览()

一个比较变态的MessageBox

2009-03-03 17:29

.text:0040A4CB MyMessageBox    proc near
.text:0040A4CB
.text:0040A4CB var_24          = dword ptr -24h
.text:0040A4CB var_14          = byte ptr -14h
.text:0040A4CB var_C           = byte ptr -0Ch
.t

阅读全文>>

类别：代码杂谈 | 评论(3) | 浏览()

一段获取ssdt表及其中函数的简单代码

2009-03-02 23:34

typedef struct _SYSTEM_SERVICE_TABLE
{
    PNTPROC    ServiceTable ;    // array of entry points
    PULONG    CounterTable ;    // array of usage counters . be NULL
    ULONG    ServiceLimit ;    // number of table entries
    UCHAR*

阅读全文>>

类别：windows内核探索 | 评论(1) | 浏览()

Windows System Call Table (NT/2000/XP/2003/Vista)

2009-02-26 12:45

链接： http://www.pediy.com/document/Windows_System_Call_Table/Windows_System_Call_Table.htm

这个表虽然没有及时更新，但是依然很强大。

类别：windows内核探索 | 评论(0) | 浏览()

注入进程实现hook API -- 拦截并修改API函数参数

2009-02-25 13:23

// MainProcessDll.cpp : Defines the entry point for the DLL application.
//
#include <windows.h>
#include <stdlib.h>
#include <stdio.h>

char g_waiguaFullPath[0x100] = {0};
DWORD g_FunAddr = 0;
DWORD g_PatchFunc = 0;
DWORD g_PatchAllHookFun = 0;
DWORD g_CmdLen = 5;
BYTE g_Cmd[0x14] = {0};
LPVOID g_mem = NULL;
DWORD g_hookflag = 0;

WCHAR tt[] = L"tt";

typedef HANDLE (CA

阅读全文>>

类别：游戏分析 | 评论(9) | 浏览()

必杀技公布——用特征码定位关键代码，秒杀MFC程序【转】

2009-02-24 09:44

【文章标题】: 必杀技公布——用特征码定位关键代码，秒杀MFC程序
【文章作者】: 书呆彭
【下载地址】: 自己搜索下载
【使用工具】: VC与OllyICE
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
本文所讲的方法，其实是一个很古老的方法了。以前，考虑到此法的杀伤力巨大，不便于公布。

阅读全文>>

类别：代码杂谈 | 评论(3) | 浏览()

在自己的应用程序中添加CRASH报告

2009-02-23 17:01

原文链接如下：
http://www.codeproject.com/KB/debug/crash_report.aspx

类别：代码杂谈 | 评论(0) | 浏览()

调试注入到宿主程序的dll的办法

2009-02-16 11:29

假设我们有一个木马程序，它运行后会释放出一个dll，注入到游戏程序中去。现在，我们如果要调试这个dll，我们就需要在游戏进程中拦截到它，然后再调试它的功能。

因此，调试的步骤就是：

1. 启动游戏，让游戏正常运行起来。用OD附加上。

2. 下断bp LoadLibraryA，启动木马程序。让其dll注入。

3. 断下后，说明注入成功.这个时候可以跟踪木马释放出的dll在游戏中的动作。

4. 继续断下注入dll中的其他导出函数，进行调试，明确其各个导出函数。

注：

阅读全文>>

类别：游戏分析 | 评论(8) | 浏览()